動易CMS 2007新特性體驗之旅——全面提高的安全性(5)_動易Cms教程
教程Tag:暫無Tag,歡迎添加,賺取U幣!
而對于不能使用參數化查詢的部分(比如in、like語句),使用嚴格的過濾函數進行過濾。如各模塊的搜索功能的模糊查詢語句:"select * from aaa where Title like '%" & Keyword & "%'",在這里會對提交過來的要害字做嚴格的過濾。
另外,動易CMS2007還通過限定URL的傳遞參數類型、數量、范圍等來防止通過構造URL進行惡意攻擊。
以下是引用片段: 5、跨站腳本攻擊(XSS)防范: ●對于不支持HTML標記的內容使用HTMLEncode進行編碼 ●對于支持HTML標記的內容使用腳本過濾函數來過濾絕大部分可運行的腳本代碼,作為防范的輔助措施 ●通過frame的安全屬性security="restricted"來阻止腳本的運行(IE有效) ●使用Cookie的HttpOnly屬性來防止Cookie通過腳本泄密(IE6 SP1以上、Firefox 3) |
根據OWASP組織發布的2007年Web應用程序脆弱性10大排名統計,跨站腳本、注入漏洞、跨站請求偽造、信息泄露等幾方面仍然是目前流行的攻擊方式。其中,跨站腳本攻擊已經超過了SQL注入漏洞攻擊,位列首位。因為XSS最難處理,限制得過死,正常功能也將無法使用,稍微一松,就有可能因為過濾不嚴而產生漏洞。而XSS的攻擊方式之多,可能會超乎大家的想像。我發個網址給大家,有愛好的人可以上去看看:http://ha.ckers.org/xss.html
動易的腳本過濾函數針對上述網址中的攻擊方式制定了一套完整的防范方案,可以有效的防范XSS攻擊。再綜合運用上述列舉的各種防范措施,可以最大限度的防范跨站腳本攻擊。
以下是引用片段:
6、跨站請求偽造(CSRF)防范:
●禁止通過地址欄直接訪問或者通過外部鏈接訪問后臺治理頁面
●通過設置ViewStateUserKey屬性防止受到惡意用戶的點擊式攻擊(對應Post方式)
●通過對鏈接追加安全驗證碼(HMACSHA1)防止跨站請求偽造(對應Get方式)
相關動易Cms教程:
- MAC錯誤的解決方法
- 如何屏蔽動易后臺導航里的某個功能菜單?
- 動易.NET版本留言自動選定欄目方法
- 動易SiteFactoty整合Discuz!NT3.0
- 在任意位置獲取根節點ID標簽
- 如何開啟SiteWeaver6.8的支持,反對功能
- Windows 2008安裝動易.NET系統之四----動易系統安裝篇
- Windows 2008安裝動易.NET系統之三----數據庫篇
- Windows 2008安裝動易.NET系統之二----IIS、目錄環境配置篇
- 數據庫修復,SQL Server 2005內部操作不一致的處理
- 如何安裝動易.net程序權限配置
- 為什么提示對Windows系統文件夾下的Temp目錄沒有訪問權限?
- 相關鏈接:
- 教程說明:
動易Cms教程-動易CMS 2007新特性體驗之旅——全面提高的安全性(5)。